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Sicherheitsrelevanz hochentwickelter Schad-Software wie Stuxnet für deutsche 
Atomkraftwerke und industrielle Prozesssteuerung 


Vorbemerkung der Fragesteller 

Nachdem im Flerbst letzten Jahres bekannt wurde, dass eine hochentwickelte 
Schad-Software (sog. Malware) namens Stuxnet irreparable Schäden an Kom- 
ponenten iranischer Atomanlagen verursacht hatte, kam auch hierzulande 
schnell die Frage auf, inwiefern deutsche Atomkraftwerke (AKW) durch Stux- 
net oder andere vergleichbar hochentwickelte Malware bedroht sein könnten. 
Medienberichte der letzten Monate deuten kontinuierlich darauf hin, dass ein 
von Malware wie Stuxnet ausgehendes Risiko für deutsche AKW vorhanden ist, 
dass über den Einzelfall hinaus vor allem spezialisierte Programme zur indus- 
triellen Prozesssteuerung betrifft (vgl. beispielsweise „Der digitale Erstschlag 
ist erfolgt“ in Frankfurter Allgemeine Zeitung vom 22. September 2010, „Land- 
karte des Schreckens“ in DER SPIEGEL 12/2011 vom 21. März 2011, „Deut- 
sche Energieversorger anfällig für Computerwurm Stuxnet“ in DER SPIEGEL 
16/2011 vom 18. April 2011 und „Siemens bestätigt Schwachstellen in Indus- 
trie-Software“, SPIEGEL ONLINE vom 19. Mai 2011). 

Die Stellungnahmen deutscher Atomaufsichtsbehörden beschränken sich im We- 
sentlichen darauf, dass bisher noch kein Befall deutscher AKW festgestellt wurde. 
Zur Anfälligkeit der Anlagen und zur Wirksamkeit möglicher Gegenmaßnah- 
men gibt es bislang noch keine belastbaren Aussagen. Fest steht lediglich, dass 
Stuxnet als Teil des Schädigungsmechanismus Steuerungsanlagen der Firma 
Siemens AG befällt, die auch in deutschen Atomkraftwerken eingesetzt werden. 

Das Programm nutzte nach heutigem Kenntnisstand vier bis dato nicht identi- 
fizierte Sicherheitslücken (Zero-Day-Exploits) des Betriebssystems Windows 
und manipulierte vor allem Anlagen des deutschen Herstellers Siemens AG, wo- 
bei u. a. die Steuersoftware WinCC (Windows Control Center) und das Prozess- 
leitsystem SIMATIC PCS 7 beeinträchtigt werden. WinCC dient der Visualisie- 
rung von in Raffinerien, Kraftwerken und Fabriken ablaufenden Prozessen und 
wird meist in deren Leitstand eingesetzt. PCS 7 steuert und überwacht automati- 
sierte Betriebsabläufe. Die Schad-Software wurde als Trojaner so auf den befal- 
lenen Anlagen platziert, dass sie möglichst lange unentdeckt bleiben sollte. 


Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums für Umwelt, Naturschutz und 
Reaktorsicherheit vom 15. August 2011 übermittelt. 

Die Drucksache enthält zusätzlich - in kleinerer Schrifttype - den Fragetext. 
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Um die sicherheitstechnische Bedeutung von Malware wie Stuxnet bewerten zu 
können, müssten die Landesatomaufsichtsbehörden und das Bundesministe- 
rium für Umwelt, Naturschutz und Reaktorsicherheit (BMU) zumindest wissen, 
welche potenziell befallbaren Siemens-Steuerungsanlagen in welchen Berei- 
chen welcher deutscher Atomkraftwerke und anderer kritischer Infrastrukturen 
betrieben werden. Dies war ein halbes Jahr, nachdem die Frage von der 
Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) mbH in Form einer 
Weiterleitungsnachricht am 30. September 2010 aufgegriffen wurde, aber nicht 
der Fall, wie aus einem Brief vom Bundesminister für Umwelt, Naturschutz und 
Reaktorsicherheit, Dr. Norbert Röttgen, an die Bundestagsabgeordnete Sylvia 
Kotting-Uhl vom 31. März 2011 hervorgeht. Demnach scheint bislang auch 
nicht klar, wie ein Befall von Malware wie Stuxnet der in den AKW eingesetzten 
Rechnern über Intranetverbindungen, Intemetverbindungen, USB-Anschlüsse, 
DVD- und CD-Laufwerke etc. wirksam unterbunden werden kann. 

Ebenfalls wurde bislang noch nicht durch spezifische Untersuchungen bestätigt, 
dass ein Stuxnet-Befall und andere mögliche Malware-Infektionen tatsächlich 
keine Auswirkungen auf das Reaktorschutzkonzept haben kann. Die GRS mbH 
stellt diese These in ihrer Weiterleitungsnachricht bereits auf, räumt zugleich 
aber ein, den tatsächlichen Umfang der Sicherheitsbedeutung von Stuxnet noch 
nicht abschätzen zu können. 

Dabei stellt sich insbesondere die Frage, ob Malware wie Stuxnet den Reaktor- 
betrieb unbemerkt aus den definierten Zuständen herausführen kann, die Grund- 
lage der Störfallbeherrschung sind. Anders ausgedrückt stellt sich die Frage, ob 
Malware wie Stuxnet den Zustand oder das Verhalten einzelner Kraftwerkskom- 
ponenten verändern kann und zugleich diejenigen Informationen über den Zu- 
stand und das Verhalten der befallenen Komponenten, die an Anzeigen und 
Kontrollsysteme übermittelt werden, verfälschen kann. Wäre dies der Fall, 
könnte nicht ausgeschlossen werden, dass die automatische Störfallbeherr- 
schung und die Handlungen des Personals zur Störfallbeherrschung völlig an- 
dere Wirkungen hervorrufen als erwartet und gewünscht. 

Es ist nach Angaben von IT-Sicherheitsexperten davon auszugehen, dass es sich 
bei dem nun entdeckten Schadprogramm mit hoher Wahrscheinlichkeit nicht um 
das erste Programm dieser Art handelt, Stuxnet vielmehr aufgrund eines anzuneh- 
menden Programmierfehlers eher zufällig entdeckt worden sei und davon ausge- 
gangen werden muss, dass sich in Zukunft ähnliche Angriffe auf Industrieanlagen 
wiederholen. So wird der deutsche IT-Sicherheitsexperte Prof Dr. Thorsten 
Holz mit den Worten zitiert: „Ich halte diesen Angriff nicht für den ersten dieser 
Art und bei allem Aufwand auch nicht für einmalig. Ich gehe davon aus [...], 
dass solche Angriffe häufiger Vorkommen, dass die erfolgreichen aber nicht öf- 
fentlich bekannt werden.“ (SPIEGEL ONLINE vom 22. September 2010) 


Vorbemerkung der Bundesregierung 

Bei der Bewertung des Risikos eines Cyberangriffs auf die digitale Leittechnik 
von Kernkraftwerken ist vom realisierten kemtechnischen Sicherheitskonzept 
mit gestaffelten Sicherheitsebenen auszugehen. Das auf der höchsten Sicher- 
heitsebene angesiedelte Sicherheitssystem der Kernkraftwerke einschließlich 
des Reaktorschutzsystems basiert auf analoger Leittechnik. In einigen deutschen 
Kernkraftwerken werden außerhalb des Sicherheitssystems, auf den niedrigeren 
Sicherheitsebenen, auch digitale Steuerungssysteme eingesetzt. Diese dienen 
dazu, das Kernkraftwerk bestimmungsgemäß zu betreiben. Zwar kann nicht aus- 
geschlossen werden, dass diese digitalen Systeme von Schadsoftware befallen 
werden, es kann aber davon ausgegangen werden, dass das analoge Reaktor- 
schutzsystem den hypothetischen Fall eines von einer eingedrungenen Schad- 
software ausgelösten Störfalls auslegungsgemäß beherrscht. Überdies besteht 
derzeit kein Verdacht, dass geeignete Schadsoftware programmiert und auch in 
die Steuerungssysteme deutscher Kernkraftwerke eingebracht werden kann, die 
in der Lage wäre, in der Störfallauslegung nicht berücksichtigte und demnach 
möglicherweise nicht beherrschte Ereignisse auszulösen. Bereits die Program- 
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mierung, die anlagenspezifisch umgesetzt werden müsste, detaillierte Kennt- 
nisse des Anlagenverhaltens erforderte und darauf aufbauend bislang nicht be- 
kannte hypothetische Ablaufszenarien beinhalten müsste, erscheint praktisch 
ausgeschlossen. Gleichwohl wird auch der Schutz der Systeme außerhalb des 
Reaktorschutzes aufsichtlich verfolgt. Dies ist Aufgabe der zuständigen atom- 
rechtlichen Behörden der Länder. Die Bundesregierung sieht im Hinblick auf die 
dargestellte Risikobeurteilung derzeit keinen Anlass, sich über die ergriffenen 
Maßnahmen hinaus in die Aufsichtsverfahren einzuschalten. 

Zu den bundesaufsichtlichen Maßnahmen gehören insbesondere die Weiterlei- 
tungsnachrichten der Gesellschaft für Anlagen- und Reaktorsicherheit (GRS). 
Im Rahmen ihrer Weiterleitungsnachricht „Malware auf speicherprogrammier- 
baren Steuerungen unter SIMATIC WinCC und SIMATIC PCS7“ vom 30. Sep- 
tember 2010 hat die GRS im Auftrag des Bundesministeriums für Umwelt, 
Naturschutz und Reaktorsicherheit (BMU) den Betreibern deutscher Kernkraft- 
werke empfohlen, Leittechniksysteme und Komponenten zu identifizieren, die 
von der Schadsoftware Stuxnet betroffen sein könnten. Es wurde zudem emp- 
fohlen, zu untersuchen, ob es prinzipiell möglich ist, den Programmablauf auch 
bei anderen digitalen Leittechniksystemen und Komponenten durch Schadsoft- 
ware zu beeinflussen. Entsprechende Gegenmaßnahmen, insbesondere die Ent- 
wicklung eines IT- Sicherheitskonzeptes wurden daran anknüpfend empfohlen. 
Die für die einzelnen Kernkraftwerke zuständigen atomrechtlichen Aufsichtbe- 
hörden der Länder prüfen im Rahmen der Abarbeitung der Weiterleitungsnach- 
richten unter Hinzuziehung von Sachverständigen die Umsetzung der Empfeh- 
lungen. Eine dauernde Berichterstattung gegenüber dem BMU über den Stand 
der Umsetzung der jeweiligen Einzelmaßnahmen der Weiterleitungsnachrichten 
erfolgt aufgrund der Verantwortlichkeit der Länder nicht. 


1. Warum war innerhalb eines halben Jahres nicht zu klären, welche Steue- 
rungsanlagen in welchen AKW in welchen Bereichen eingesetzt werden 
(vgl. erste Empfehlung der GRS-Weiterleitungsnachricht vom 30. Septem- 
ber 20 1 0 und Brief von Bundesminister für Umwelt, Naturschutz und Reak- 
torsicherheit, Dr. Norbert Röttgen, an die Bundestagsabgeordnete Sylvia 
Kotting-Uhl vom 31. März 2011)? 

Die zuständigen atomrechtlichen Aufsichtsbehörden der Länder haben bestätigt, 
dass die relevanten Leittechniksysteme und Komponenten untersucht worden 
seien und keine Infektion festgestellt wurde. Eine detaillierte Aufschlüsselung 
der untersuchten Leittechniksysteme und Komponenten hat das BMU nicht ge- 
fordert. 


2. Ist mittlerweile klar, in welchen AKW in welchen Bereichen die Siemens- 
Software und Steuerungsanlagen, auf die Stuxnet abzielt, eingesetzt werden 
(ggf. bitte für die AKW, zu denen die Informationen mittlerweile vorliegen, 
anlagenscharfe tabellarische Übersicht mit Anzahl, Typ, Anlagenbereich, 
Einsatzzweck etc.)? 

Falls nein, weshalb nicht, bis wann soll dies endgültig für alle AKW geklärt 
sein? 

Im Rahmen der Abarbeitung der Weiterleitungsnachricht „Malware auf speicher- 
programmierbaren Steuerungen unter SIMATIC WinCC und SIMATIC PCS7“ 
vom 30. September 2010 sollen nicht nur Steuerungssysteme der Firma Sie- 
mens, auf die Stuxnet abzielte, untersucht werden. Es sollen auch andere digitale 
Steuerungssysteme in Betracht gezogen werden. 

Stuxnet „sucht“ nach einer speziellen Konfiguration speicherprogrammierbarer 
Steuerungssysteme bzw. nach speziellen Modulen solcher Systeme. Diese sind 
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nach derzeitigem Kenntnisstand jedoch nicht in deutschen Kernkraftwerken ein- 
gesetzt. 


3. Falls bislang immer noch kein umfassender Überblick darüber vorliegt, in 
welchen AKW in welchen Bereichen die Siemens-Software, auf die Stuxnet 
abzielt, eingesetzt wird, welche teilweisen Informationen liegen der GRS 
mbH bereits zu welchen AKW dazu vor (vgl. Seite 4 in der Weiterleitungs- 
nachricht der GRS mbH)? 

Auf die Vorbemerkung der Bundesregierung und auf die Antworten zu den Fra- 
gen 1 und 2 wird verwiesen. 


4. Wie schließt die Bundesregierung, für den Fall, dass auch deutsche AKW 
und weitere Industrieanlagen befallen sind, aus, dass es hierdurch zu schwer- 
wiegenden Fehlem in den betrieblichen Abläufen kommt? 

Schwerwiegende Fehler in betrieblichen Abläufen werden entsprechend der 
Auslegung deutscher Kernkraftwerke im Rahmen des gestaffelten Sicherheits- 
konzeptes auf einer niedrigeren Sicherheitsebene durch das sogenannte Begren- 
zungssystem beherrscht. Das Reaktorschutzsystem wird hierzu nicht benötigt. 
Erst weim sich die Fehler ausweiten sollten, käme das Reaktorschutzsystem zum 
Eingriff. Das Reaktorschutzsystem eines Kernkraftwerks verhindert eine Schä- 
digung des Reaktorkems, weim es zu einem Störfall kommen sollte. Es ist nicht 
programmierbar, sein Schaltverhalten ist fest vorgegeben und kann nicht ohne 
erheblichen technischen Aufwand im Kernkraftwerk verändert werden. Das Re- 
aktorschutzsystem benötigt keine Computersteuerung und kann daher nicht von 
Schadsoftware befallen werden. 

Im Übrigen wird auf die Antwort zu Frage 5 verwiesen. 


5. Wie bewertet die Bundesregierung, insbesondere hinsichtlich der Atomauf- 
sicht, die Selbstauskunft der Siemens AG vom 11. März 2011, dass insge- 
samt weltweit 24 Kunden aus dem industriellen Umfeld von einer Stuxnet- 
Infektion berichtet haben und es in keinem Fall während einer Infektion zu 
Auswirkungen auf die Prozesssteuerung kam? 

Liegen der Bundesregierung hier differierende Einschätzungen vor, und 
wenn dies der Fall ist, wie lauten diese? 

Aufgrund der Funktionsweise von Stuxnet dürfte es tatsächlich außer auf dem 
System, auf das der Angriff gezielt war, nicht zu Auswirkungen auf Prozesssteu- 
erungsanlagen gekommen sein, da Stuxnet nur eine ganz spezielle Anlagenkon- 
figuration angreift. Da Industrieanlagen sehr individuell und komplex aufgebaut 
sind, ist nicht davon auszugehen, dass exakt die gleiche Anlagenkonfiguration 
in einer zweiten Anlage existiert. 


6. Ist der Bundesregierung, insbesondere dem BMU und Bundesamt für Si- 
cherheit in der Informationstechnik (BSI), bekannt, welche anderen Länder 
mit AKW Analysen veranlasst haben, die mit der Weiterleitungsnachricht 
der GRS mbH vergleichbar sind? 

Falls ja, welche Staaten haben wann welche Untersuchungen veranlasst, und 
welche (Zwischen-)Ergebnisse hegen bereits vor? 

Das BMU und die GRS haben auf den internationalen Konferenzen der Inter- 
nationalen Atom-Energie-Organisation (lAEO) und der OECD Nuclear Energy 
Agency zum Austausch von Betriebserfahrungen über die Untersuchungen in 
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Deutschland informiert. Der Bundesregierung liegen im Übrigen keine öffent- 
lichen Beiträge anderer Staaten vor. 


7. Inwiefern ist die Sicherheitsrelevanz von Malware wie Stuxnet bereits 
Gegenstand der internationalen Zusammenarbeit des BMU zur Reaktor- 
sicherheit? 

Inwiefern war sie es insbesondere auf der Fünften Überprüfungskonferenz 
zum Übereinkommen über nukleare Sicherheit im April 2011 in Wien? 

Die Verhinderung von IT- Angriffen auf Kernkraftwerke war das Thema eines 
Expertentrefifens bei der lAEO im Mai 2011, das dazu diente, einerseits bereits 
vorhandene Erfahrungen, unter anderem auch zu Stuxnet, zwischen den Exper- 
ten auszutauschen, andererseits aufzuzeigen, in welchen Bereichen der IT- 
Sicherheit in kemtechnischen Anlagen die lAEO die Mitgliedsstaaten stärker 
unterstützen könnte. 

Das Übereinkommen über nukleare Sicherheit umfasst keine Themen des 
Schutzes gegen Störmaßnahmen oder sonstige Einwirkungen Dritter. 


8. Ist es korrekt, dass die Nachweise zur Störfallbeherrschung davon aus- 
gehen, dass sich die Anlage in einem bestimmten, definierten Ausgangs- 
zustand befindet? 

Bei der Nachweisführung für die Störfallbeherrschung wird in der Regel ein de- 
finierter Ausgangszustand bei Eintritt des Störfalls unterstellt. Für diesen Aus- 
gangszustand wird angenommen, dass er für andere Ausgangszustände ab- 
deckend ist, das heißt, dass für die Störfallbeherrschung insgesamt stets die 
ungünstigeren Bedingungen unterstellt werden. Das Reaktorschutzsystem über- 
wacht grundsätzlich unabhängig vom Anlagenzustand permanent unterschied- 
liche Anlagenparameter. Wenn hierbei bestimmte Grenzwerte erreicht werden, 
löst das Reaktorschutzsystem Schutzaktionen aus. Für die Nachweise zur Stör- 
fallbeherrschung wird dieses grenzwertabhängige Verhalten des Reaktorschut- 
zes zugrunde gelegt. 


9. Kann praktisch ausgeschlossen werden, dass Malware wie Stuxnet Anla- 
gekomponenten so schädigt, dass der tatsächliche Zustand bzw. das tat- 
säehliche Verhalten bestimmter Komponenten nicht dem angezeigten bzw. 
übermittelten Zustand/Verhalten entspricht, und dies dann insbesondere 
mit bislang nicht berücksichtigten Implikationen für die Störfallbeherr- 
schung verbunden ist? 

Falls ja, weshalb und auf welche wissenschaftliche Grundlage (Untersu- 
chungen, Stellungnahmen, Gutachten etc.) stützt sich die Bundesregierang 
dabei? 

Auf die Vorbemerkung der Bundesregierung und die Antwort zu Frage 2 wird 
verwiesen. Darüber hinaus geht das BMU im Sinne einer weitestgehenden Vor- 
sorge genau dieser Frage nach. Dazu wurden Beratungen der RSK und ein For- 
schungsvorhaben initiiert. 


10. Kann praktisch ausgeschlossen werden, dass Malware wie Stuxnet ein 
AKW unbemerkt aus den betrieblichen Begrenzungen herausführt, und 
dies dann insbesondere mit bislang nicht berücksichtigten Implikationen 
für die Störfallbeherrschung verbunden ist? 
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Falls ja, weshalb und auf welche spezifische wissenschaftliche Grundlage 
(Untersuchungen, Stellungnahmen, Gutachten etc.) stützt sich die Bundes- 
regierung dabei? 

Auf die Vorbemerkung der Bundesregierung und auf die Antworten zu den Fra- 
gen 2 und 8 wird verwiesen. 


1 1 . Welche BSI-Leitlinien, -Standards und Hilfedokumente sollen anlässlich 
des Aufkommens von Stuxnet bis wann überarbeitet werden? 

Sind dabei neue BSI-Leitlinien und -Standards geplant oder bereits erlas- 
sen, die speziell auf AKW zugeschnitten sind? 

Es ist derzeit nicht geplant, BSI-Leitlinien, -Standards und Hilfe-Dokumente an- 
lässlich des Aufkommens von Stuxnet zu überarbeiten. Es gibt keine BSI-Leit- 
linien und -Standards, die speziell auf Kernkraftwerke zugeschnitten sind. Die 
vorhandenen BSI-Leitlinien, -Standards und -Empfehlungen sind hinreichend 
generisch gehalten, so dass die IT-Infrastrukturen, auf die Stuxnet abzielte, auch 
mit deren Hilfe abgesichert werden können. Bei angemessener Umsetzung der 
BSI-Empfehlungen kann das Risiko, dass Stuxnet oder ähnliche Schadsoftware 
Erfolg hat, minimiert werden. 


12. Auf welche Art und Weise wird die Bundesregiemng die Empfehlung des 
BSI, industrielle Prozesssteuerungsanlagen vom Internet getrennt zu halten 
(Die Lage der IT-Sicherheit in Deutschland 2011, S. 29), bei AKW dauer- 
haft Umsetzen? 

Die Umsetzung der Empfehlung des BSI liegt in der Verantwortung der Betrei- 
ber. Soweit ein Einbau von digitaler Steuerungstechnik von Betreibern in Berei- 
chen beabsichtigt ist, in denen eine Manipulation dieser Technik Auswirkungen 
auf die Sicherheit der Anlage haben kann, ist es Aufgabe der atomrechtlichen 
Genehmigungs- und Aufsichtsbehörden der Länder, sicherzustellen, dass der er- 
forderliche Schutz gegen Störmaßnahmen oder sonstige Einwirkungen Dritter 
gewährleistet ist. Hierzu gehört gegebenenfalls auch die Einhaltung der entspre- 
chenden Empfehlungen des BSI. 

Im Übrigen wird auf die Antworten zu den Fragen 1 7 und 20 verwiesen. 


13. Inwiefern ist Malware wie Stuxnet Gegenstand der Beratungen im sog. 
Cyberabwehrzentmm und dem sog. Cybersicherheitsrat, und wenn ja, wie 
werden die dort ausgetauschten Kermtnisse an Atomaufsichtsbehörden 
kommuniziert? 

Das Cyberabwehrzentrum beobachtet die allgemeine Gefährdungslage und dis- 
kutiert im Einzelfall unter anderem auch die Auswirkungen von Schadsoftware 
auf kritische (Informations-)Inffastrukturen. Bislang arbeiten die Sicherheits- 
behörden im Cyberabwehrzentrum zusammen. Es ist beabsichtigt, wesentliche 
Erkenntnisse zukünftig mit den aufsichtführenden Behörden dieser kritischen 
(Informations-)Infrastrukturen auszutauschen. Dazu wird planmäßig das Cyber- 
abwehrzentrum sukzessive um die aufsichtführenden Behörden ergänzt. 

Im Cybersicherheitsrat ist die Befassung mit konkreter Schadsoftware nicht be- 
absichtigt, sondern es werden auf Basis von Berichten zum Lagebild der Cyber- 
sicherheit die politischen und strategischen Auswirkungen und Ansätze zur Ver- 
besserung der Rahmenbedingungen diskutiert. 
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14. Welche Auswirkungen haben die durch Stuxnet gewonnenen Erkenntnisse 
auf die Pläne der Bundesregierung zum verbesserten Schutz kritischer In- 
frastrukturen, und welche zum Beispiel im „Dritten Gefahrenbericht“ der 
Schutzkommission beim Bundesministerium des Inneren angemahnt und 
teilweise in der „Nationalen Strategie zum Schutz Kritischer Infrastruktu- 
ren“ (KRITIS-Strategie) und im „Nationalen Plan zum Schutz der Infor- 
mationsinfrastrukturen“ (NPSI) umgesetzt wurden? 

Die Bundesregierung hat die Entwicklungen bei der Cybersicherheit einschließ- 
lich Stuxnet zum Anlass genommen, per Kabinettbeschluss am 23. Februar 2011 
die Cybersicherheitsstrategie zu beschließen. Der Schutz kritischer Infrastruktu- 
ren wird in der Strategie als prioritäre Aufgabe angesehen. Die in der Strategie 
definierten Maßnahmen werden sukzessive umgesetzt. 


15. Ist die Bundesregierung, auch vor dem Hintergrund, dass es im NPSI heißt, 
dass es „um den Schutz der Informationsinffastrukturen in Deutschland 
nachhaltig zu gewährleisten“ erforderlich sei, den Nationalen Plan und des- 
sen Umsetzung regelmäßig anzupassen und ihn gegebenenfalls an die aktu- 
ellen Erfordernisse anzupassen, der Ansicht, dass der NPSI angesichts der 
anhand des Stuxnet-Befalls gewonnenen Erkermtnisse grundlegend über- 
arbeitet werden muss? 

Wenn ja, welche Anpassungen werden hier vorgenommen? 

Wenn nein, warum soll keine Anpassung erfolgen? 

Diese Cybersicherheitsstrategie hat den NPSI als Dachstrategie des Bundes 
abgelöst. 


16. Welche neuen IT-basierten Kontrollmechanismen sind speziell für deut- 
sche AKW im Einsatz oder geplant, um einen Stuxnet-Befall feststellen zu 
können und andere gezielte Angriffe abzuwehren? 

Konkrete Schutzmaßnahmen werden grundsätzlich nicht veröffentlicht, um 
deren Wirksamkeit nicht zu gefährden. 

Im Übrigen wird auf die Vorbemerkung der Bundesregierung verwiesen. 


17. Gibt es grundsätzlich einheitliche Richtlinien für die IT-Sicherheit in 
AKW? 

Falls ja, seit wann, wann wurden sie zuletzt geändert und durch wen wird 

a) ihre Einhaltung und 

b) ihre Effektivität 
kontrolliert und 

c) jeweils wie regelmäßig? 

Welche Informationen hierzu liegen dem BMU und den Landesatomauf- 
sichtsbehörden hierzu vor? 

Für die Sicherung kemtechnischer Anlagen gegen Störmaßnahmen oder sons- 
tige Einwirkungen Dritter ist auch im IT-Bereich der erforderliche Schutz zu 
gewährleisten. Eine auf Bundesebene einheitliche Konkretisierung dieser An- 
forderungen durch eine gesonderte Richtlinie wird von der Bundesregierung 
gegenwärtig erarbeitet. 

Darüber hinaus wird derzeit die DIN/IEC Norm 62645 „Nuclear power plants — 
Instrumentation and Control Systems - Requirements for security programmes 
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for computer-based Systems“ und eine Technical Guidance „Computer security 
at nuclear facilities“ der IAEA erarbeitet. Die überarbeiteten Fassungen der 
Regeln des Kerntechnischen Ausschusses (KTA) 1402 und 3701 behandeln 
auch die IT-Sicherheit. 


18. Falls es einheitliche verbindliche Richtlinien für die IT-Sicherheit in AKW 
gibt, wann gab es in welchen Anlagen welche Verstöße dagegen? 

Wie wurden sie geahndet? 

Auf die Antwort zu Frage 17 wird verwiesen. 


19. Ist seitens der Atomaufsichtsbehörden geplant, anlässlich hochentwickel- 
ter Malware wie Stuxnet verbindliche neue IT-Sicherheitsvorschriften zu 
erlassen? 

Muss dafür aus Sicht der Bundesregierung gewartet werden, bis die Aus- 
wertung der aktuell laufenden Weiterleitungsnachricht der GRS mbH er- 
folgt ist (bitte begründen)? 

Es wird auf die Antwort zu Frage 17 verwiesen. Für diese Arbeiten ist eine 
abschließende Auswertung der Weiterleitungsnachricht nicht erforderlich. 


20. Ist die Weiterleitungsnachricht der GRS mbH aus Sicht des BMU und des 
BSl geeignet und ausreichend, um praktisch auszuschließen, dass in AKW 
eingesetzte Rechner von Malware wie Stuxnet befallen werden (ggf. bitte 
mit ausführlicher Begründung)? 

Falls nein, welche Konsequenzen 

a) hat die Bundesregierung daraus bereits gezogen, und 

b) will sie daraus bis wann noch ziehen? 

Die kurzfristige Versendung der Weiterleitungsnachricht und eines Schreibens 
des BMU an die Länder mit Fragen nach akuten Infektionen mit Stuxnet in den 
deutschen Kernkraftwerken waren erste gebotene Schritte. Durch die teils 
umfassenden Empfehlungen in der Weiterleitungsnachricht, z. B. nicht nur Steu- 
erungssysteme der Firma Siemens zu untersuchen, sondern die Untersuchungen 
auch auf die übrigen Systeme auszudehnen oder auch die Empfehlung, IT-Si- 
cherheitskonzepte einzurichten, wurden bereits die Weichen für die weiteren 
Schritte gestellt. 

Im Übrigen wird auf die Antwort zu Frage 17 verwiesen. 


2 1 . Welchen Zeitplan gibt es seitens des BMU für den weiteren Umgang mit 
den Risiken für den AKW-Betrieb und die Reaktorsicherheit, die sich aus 
Malware wie Stuxnet ergeben (bitte auch mit Beschreibung etwaiger 
Zwischenschritte und inwiefern das BMU dabei mit BSl, GRS mbH, den 
Landesatomaufsichtsbehörden, Cyberabwehrzentrum, Cybersicherheitsrat 
und anderen kooperieren will)? 

Das BMU kooperiert mit allen genannten Institutionen. Im Übrigen wird auf die 
Antwort zu Frage 17 verwiesen. 
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22. Können das BMU und/oder die GRS mbH bestätigen, dass die Weiterlei- 
tungsnachricht zu Stuxnet nur empfiehlt, im Fall einer Stuxnet-lnfizierung 
einer Steuerungsanlage sofort eine Analyse durchzuführen, um festzustel- 
len, welche Auswirkungen eine Fehlfunktion haben könnte, die durch den 
Befall ausgelöst werden könnte? 

Nein. Im Übrigen wird auf die Antwort zu Frage 20 verwiesen. 


23 . Warum wurde nicht empfohlen, grundsätzlich bei allen im Zusammenhang 
mit Stuxnet-relevanten AKW-Steuerungsanlagen zu analysieren, welche 
Auswirkungen eine Fehlfunktion haben könnte, die durch einen Stuxnet- 
Befall ausgelöst werden kann? 

Zum Zeitpunkt der Erstellung der Weiterleitungsnachricht waren die Analysen 
zu Verhalten und Funktionalität von Stuxnet noch nicht abgeschlossen. In dieser 
Situation war die Suche nach einem möglichen Befall mit Stuxnet vorrangig. 

Im Übrigen wird auf die Vorbemerkung der Bundesregierung und auf die Ant- 
worten zu den Fragen 2, 8, 9 und 22 verwiesen. 


24. Ist dies noch beabsichtigt? 

Falls ja, bis wann? 

Falls nein, waram nicht? 

Nach Auffassung der Bundesregierung gibt es in deutschen Kernkraftwerken 
nach derzeitigem Kenntnisstand keine Steuerungen, die im Zusammenhang mit 
Stuxnet relevant sind. Eine ergänzende Empfehlung ist derzeit nicht beabsich- 
tigt. Im Übrigen wird auf die Antworten zu den Fragen 2 und 9 verwiesen. 
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